本文引用了封宇《JWT技术解决IM系统的认证痛点》一文的部分内容，即时通讯网重新整理、增补和修订，感谢原作者的无私分享。

1、引言

2、原作者

a.jpg (19.65 KB, 下载次数: 1349)

下载附件  保存到相册

6 年前 上传

• 《从零开始搭建瓜子二手车IM系统(PPT) [附件下载]》
• 《一套海量在线用户的移动端IM架构设计实践分享(含详细图文)》
• 《一个低成本确保IM消息时序的方法探讨》
• 《移动端IM中大规模群消息的推送如何保证效率、实时性？》
• 《瓜子IM智能客服系统的数据架构设计(PPT) [附件下载]》
• 《瓜子IM智能客服系统的数据架构设计（整理自现场演讲，有配套PPT）》
• 《即时通讯安全篇（七）：用JWT技术解决IM系统Socket长连接的身份认证痛点》
  

3、系列文章

• 《即时通讯安全篇（一）：正确地理解和使用Android端加密算法》
• 《即时通讯安全篇（二）：探讨组合加密算法在IM中的应用》
• 《即时通讯安全篇（三）：常用加解密算法与通讯安全讲解》
• 《即时通讯安全篇（四）：实例分析Android中密钥硬编码的风险》
• 《即时通讯安全篇（五）：对称加密技术在Android上的应用实践》
• 《即时通讯安全篇（六）：非对称加密技术的原理与应用实践》
• 《即时通讯安全篇（七）：用JWT技术解决IM系统Socket长连接的身份认证痛点》（本文）
• 《即时通讯安全篇（八）：如果这样来理解HTTPS原理，一篇就够了》
• 《即时通讯安全篇（九）：你知道，HTTPS用的是对称加密还是非对称加密？》
• 《即时通讯安全篇（十）：为什么要用HTTPS？深入浅出，探密短连接的安全性》
• 《即时通讯安全篇（十一）：IM聊天系统安全手段之通信连接层加密技术》
• 《即时通讯安全篇（十二）：IM聊天系统安全手段之传输内容端到端加密技术》
• 《即时通讯安全篇（十三）：信创必学，一文读懂什么是国密算法》
• 《即时通讯安全篇（十四）：网络端口的安全防护技术实践》
  

4、我们面临的技术痛点

1.jpg (16.73 KB, 下载次数: 1285)

下载附件  保存到相册

6 年前 上传

• 1）用户登录App，App从业务后台拿到单点登陆系统SSO颁发的token；
• 2）当App需要使用IM功能时，将token传给IM客服端SDK；
• 3）客服端SDK跟IM Server建立长连接的时候用token进行认证；
• 4）IM Server请求SSO单点登陆系统，确认token合法性。
  

• 1）网络不稳定：手机（移动端）的网络很不稳定，进出地铁可能断网，挪动位置也可能换基站；
• 2）长连接频繁建立和释放：正因为1）中的原因，在一个聊天会话过程中，会经常重新建立长连接，从而导致上图里的第3步会被频繁执行，进而第4步也会频繁执行；
• 3）系统压力会增大：鉴于2）中的表现，将大大增加了SSO单点登陆系统的压力（因为IM实例需要频繁的调用SSO系统，从而完全客户端长连接的身份合法性检查）；
• 4）用户体验也不好：长连接建立过程中，因SSO单点登陆系统并不属于IM服务端实例范围之内，IM服务端实例与SSO系统的通信等，带来的额外通信链路延迟对于用户的体验也是一种伤害（而且SSO系统也可能短暂开小差）。
  

• 《现代移动端网络短连接的优化手段总结：请求速度、弱网适应、安全保障》
• 《移动端IM开发者必读(一)：通俗易懂，理解移动网络的“弱”和“慢”》
• 《移动端IM开发者必读(二)：史上最全移动弱网络优化方法总结》
  

5、完全搞懂什么是JWT技术

5.1基础知识

20180301214817473.jpg (34.59 KB, 下载次数: 1267)

下载附件  保存到相册

6 年前 上传

• 1）红色的为Header：指定token类型与签名类型；
• 2）紫色的为载荷（playload）：存储用户id等关键信息；
• 3）蓝色的为签名：保证整个信息的完整性、可靠性（这个签名字符串，相当于是一段被加密了的密文文本，安全性就是由它来决定的）。
  

5.2解密JWT的头部（Header）

{
  "typ": "JWT",
  "alg": "HS256"
}

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

5.3解密JWT的载荷(playload)

• 1）iss: 该JWT的签发者；
• 2）sub: 该JWT所面向的用户；
• 3）aud: 接收该JWT的一方；
• 4）exp(expires): 什么时候过期，这里是一个Unix时间戳；
• 5）iat(issued at): 在什么时候签发的。
  

eyJpc3MiOiIyOWZmMDE5OGJlOGM0YzNlYTZlZTA4YjE1MGRhNTU0NC1XRUIiLCJleHAiOjE1MjI0OTE5MTV9

5.4解决JWT的签名（Signature）

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiIyOWZmMDE5OGJlOGM0YzNlYTZlZTA4YjE1MGRhNTU0NC1XRUIiLCJleHAiOjE1MjI0OTE5MTV9

P-k-vIzxElzyzFbzR4tUxAAET8xT9EP49b7hpcPazd0

5.5签名的目的

5.6一个典型的JWT应用流程

20180301220433899.jpg (26.46 KB, 下载次数: 1182)

下载附件  保存到相册

6 年前 上传

• 1）客户端使用账户密码请求登录接口；
• 2）登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端；
• 3）客户端再次向服务端请求其他接口时带上JWT；
• 4）服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应。
  

5.7总而言之

QQ20181127-150738.jpg (19.73 KB, 下载次数: 1260)

下载附件  保存到相册

6 年前 上传

WX20181128-095457@2x.gif (45.38 KB, 下载次数: 1227)

下载附件  保存到相册

6 年前 上传

6、我们是怎样使用JWT技术的？

3.jpg (20.9 KB, 下载次数: 1235)

下载附件  保存到相册

6 年前 上传

• 1）用户登录App（使用IM客服端SDK），App从业务后台拿到SSO单点登陆系统颁发的token（注意：此token还不是JWT的token，它将在第3）步中被使用并生成真正的JWT token）；
• 2）当App需要使用IM功能时，将token传给IM客服端SDK（这是在客户端完成的，即当App的功能调用IM客服端SDK时传入）；
• 3）IM客服端SDK将用户名及第2步中得到的token发给后台的JWT Server（签发JWT token的模块），请求JWT token；
• 4）收到第3）步中提交过来的token后，JWT Server会通过RPC等技术向SSO系统提交验证此token的合法性，如果合法，将用跟IM Server约定的Secret（你可以理解为这就是一个固定的密码而已），根据业务需要签发JWT token，并最终返回给IM客服端SDK（即完成第3步中的请求）。
• 5）后绪，IM客服端SDK将使用得到的JWT token请求IM Server验证长连接，IM Server根据约定的算法（不依赖其他系统直接用JWT的规则，加上第4）步中与JWT Server 约定的Secret）即可完成jwttoken合法性验证。
  

7、JWT技术的缺点

• 1）JWT的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消token或更改token的权限。也就是说，一旦JWT签发，在有效期内将会一直有效；
• 2）JWT本身包含认证信息（即你在第5.1节中看到的头信息、负载信息），因此一旦信息泄露，任何人都可以获得token的所有权限。为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证；
• 3）为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS（SSL）协议进行传输。
  

8、点评

附录：更多即时通讯方面的文章